In der sich ständig verändernden Landschaft der Cybersicherheit sind die Grenzen zwischen professionellen und persönlichen Online-Welten zunehmend verschwommen. Soziale Medien wie Facebook, LinkedIn und WhatsApp werden mittlerweile häufig für die berufliche Kommunikation genutzt. Ihre Integration in den Arbeitsalltag schafft jedoch Cybersecurity-Schwachstellen.

Neuartige Bedrohung auf LinkedIn: Kombinierte Accountübernahmen und zweistufige Phishing-Attacke

Eine aktuelle Bedrohung für LinkedIn vereint übernommene Nutzerkonten mit einem schwer zu entdeckenden zweistufigen Phishing-Angriff. Eine kürzlich entdeckte, auf Python basierende Infostealer-Malware namens Snake hat es auf Facebook-Nutzer abgesehen, indem sie bösartige Nachrichten versendet. Indem sie Nutzer dazu verleitet, Malware herunterzuladen, stiehlt Snake sensible Browserdaten, um Accounts zu übernehmen. Dies unterstreicht, wie soziale Medien als potenzielle Angriffsvektoren für das Stehlen von Anmeldedaten und das Kompromittieren von Unternehmenssystemen genutzt werden können.

LinkedIn, eine Plattform für berufliches Networking, ist anfällig für Angriffe aufgrund der Fülle öffentlich verfügbarer Nutzerdaten. Angreifer können E-Mail-Adressen für Umfragen sammeln und gefälschte Profile nutzen, um über Phishing-Angriffe Malware zu verbreiten. Perception Point entdeckte kürzlich einen neuen Angriff, der kompromittierte Nutzerkonten mit einem zweistufigen Phishing-Schema kombiniert, um Entdeckungen zu umgehen.

Die Funktionsweise der Angriffe

Kompromittierte LinkedIn-Konten wurden ausgenutzt, um Social-Engineering-Angriffe zu starten. Die Angreifer schickten Nachrichten an das Netzwerk des Opfers, so als ob sie von einer vertrauenswürdigen Verbindung (1. Grad) stammten. Die Nachrichten enthielten einen bösartigen Link, getarnt als legitimer OneDrive-Dokumentenlink, oft mit dem Köder eines vertraulichen Projekts, um das Opfer zum Klicken zu verleiten und so eine Accountübernahme einzuleiten.

Phishing-Akteure nutzen einen zweistufigen Angriff: Zuerst verleiten sie Opfer dazu, auf eine URL zu klicken, die zu einer legitimen OneDrive-Seite führt, die ein bösartiges Word-Dokument hostet. Im zweiten Schritt ist in dem Dokument eine URL eingebettet, die Opfer über ein gefälschtes Cloudflare-Verifizierungsfenster zu einer Phishing-Webseite weiterleitet, die darauf ausgelegt ist, Microsoft 365-Anmeldedaten zu stehlen.

Der HTML-Code der Phishing-Seite enthüllt, dass er von einer Gruppe namens „3rr0r Hun73r“ stammt, die Phishing-Kits erstellt und verkauft.

Die Beliebtheit sozialer Medien schafft eine Schwachstelle für Unternehmen, bei der Hacker die Nutzung sozialer Medien durch Mitarbeiter in Arbeitsbrowsern ausnutzen, um persönliche und unternehmensbezogene Daten zu stehlen.